Evitando mensagens de resposta ARP para endereço IP de porta / mac não autorizada

2

Eu tenho um número de servidores em execução nos switches da Dell que são usados pelos clientes para seus projetos. Ocasionalmente, alguns clientes colocam outros endereços IP de cliente em seu servidor (presumivelmente por acidente) e, embora eu possa impedi-los de usar esses endereços IP com regras de ACL, não posso impedi-los de responder a mensagens ARP com endereço IP roubado, o que atrapalha a acessibilidade do servidor do proprietário original do IP. Todas as portas do switch estão na mesma VLAN e não posso dividir as portas em diferentes VLANs por motivos de limitação de roteamento e IP.

Eu queria saber quais são as possíveis maneiras de evitar que as portas / mac não autorizadas respondam a mensagens "ARP who has" com o IP de outra pessoa.

EDITAR:

Eu principalmente uso switches Dell S4810. Eu, claro, tentei procurar o manual sobre a solução do meu problema, no entanto, o melhor que pude encontrar é a "inspeção dinâmica de arp", que usa o banco de dados DHCP para validar endereços IP para MACs. Meus clientes costumam usar grandes porções de endereços IP externos em máquinas virtuais, então bloqueá-los diretamente em um único endereço MAC é um pouco complicado. Para aumentar o problema, é sua capacidade de mover endereços IP de um servidor para outro em outra porta de switch.

Implementei o log SNMP pesado de alertas e traps. Agora estou inclinado para uma solução complexa de scripts que verificaria Registros de endereços "IP para MAC" e compará-los com MACs de servidor / VM de cliente para quaisquer irregularidades e com base em algum tipo de cálculo determinam se alguém está roubando o IP de outra pessoa e simplesmente desativará a porta da fonte de atividade maliciosa.

A ideia geral deste post foi reunir ideias de outras soluções. Aprecie toda a entrada.

    
por Andrew Davis 04.05.2018 / 15:59

2 respostas

3

Muitos switches têm mecanismos de proteção ARP / inspeção ARP / IP de origem que podem ser habilitados para policiar todo o tráfego ARP que passa pelo switch e impor as ligações MAC-para-IP. Eles podem aprender as ligações apropriadas dinamicamente a partir do DHCP (snooping), ou você pode configurá-las estaticamente, o que é provavelmente o que você precisa aqui.

No entanto, não tenho certeza sobre a disponibilidade desse recurso nos produtos da Dell. Eu peguei um manual do PowerConnect 5448 (reconhecidamente bastante antigo agora) e não consegui encontrar menção ...

    
por 04.05.2018 / 18:05
2

Seus comutadores Dell permitirão que você insira entradas ARP estáticas para todos os seus servidores? Você não postou os modelos ou a versão do sistema operacional, então não posso procurar por você. Eu sei sobre os switches da Cisco, você também pode limitar o número de entradas ARP por porta, por isso, se você não estiver virtualizado, você pode definir cada porta do cliente para "1" e que não pode deixar que as mudanças aconteçam.

Isso vai ser uma dor para gerenciar, é claro.

Esse tipo de problema é muito bonito para as VLANs, então veja se você pode resolver os obstáculos para implementá-las.

    
por 04.05.2018 / 17:17